NANOREMOTE Bakdörr
Cybersäkerhetsforskare har upptäckt en fullfunktionell Windows-bakdörr vid namn NANOREMOTE, som använder Google Drive API för sina kommando-och-kontrolloperationer (C2). Denna skadliga programvara uppvisar sofistikerade funktioner för dataexfiltrering och fjärroperationer, vilket gör den till ett betydande hot mot utvalda organisationer.
Innehållsförteckning
Länkar till tidigare hotaktivitet
NANOREMOTE delar anmärkningsvärda kodlikheter med ett annat implantat, känt som FINALDRAFT (även kallat Squidoor), som använder Microsoft Graph API för C2. FINALDRAFT tillskrivs ett hotkluster betecknat REF7707 (även känt som CL-STA-0049, Earth Alux och Jewelbug).
REF7707 tros vara en misstänkt kinesisk cyberspionagegrupp som har riktat in sig på:
- Myndigheter
- Försvarsorganisationer
- Telekommunikationsföretag
- Utbildningsinstitutioner
- Flygsektorer
Gruppens aktivitet har observerats i Sydostasien och Sydamerika sedan mars 2023. Det är värt att notera att forskare i oktober 2025 kopplade REF7707 till ett fem månader långt intrång mot en rysk IT-tjänsteleverantör.
Skadlig programvaras funktioner och arkitektur
NANOREMOTEs kärnfunktionalitet kretsar kring att utnyttja Google Drive API för både dataexfiltrering och nyttolaststaging, vilket skapar en diskret och svårupptäckt kommunikationskanal för angripare. Dess uppgiftshanteringssystem är utformat för att köa filöverföringar, hantera pausning och återupptagning av dessa överföringar, låta operatörer avbryta pågående operationer och generera uppdateringstokens för att upprätthålla ihållande aktivitet.
Bakdörren i sig är byggd i C++ och kan utföra omfattande rekognoscering av infekterade värdar, exekvera filer och systemkommandon samt flytta data mellan komprometterade miljöer och Google Drive. Den upprätthåller också kommunikation med en hårdkodad, icke-routerbar IP-adress med hjälp av standard HTTP-trafik. Under denna kommunikation skickas JSON-data via POST-förfrågningar efter att ha komprimerats med Zlib och krypterats med AES-CBC med en 16-byte nyckel (558bec83ec40535657833d7440001c00). Alla utgående förfrågningar förlitar sig på /api/client-sökvägen och identifierar sig med hjälp av NanoRemote/1.0 User-Agent-strängen.
Den skadliga programvaran använder sig av en uppsättning av 22 kommandohanterare som tillsammans gör det möjligt för den att samla in systeminformation, manipulera filer och kataloger, köra portabla körbara filer som redan finns på disken, rensa cachade data, kontrollera förflyttningen av filer till och från Google Drive och avsluta sin egen operation när den instrueras till det.
Infektionskedjan börjar med en laddare som kallas WMLOADER, även om metoden som används för att leverera NANOREMOTE till offren fortfarande är okänd. WMLOADER utger sig för att vara kraschhanteringskomponenten BDReinit.exe, en fil som vanligtvis är associerad med ett legitimt cybersäkerhetsverktyg, och ansvarar för att dekryptera skalkoden som slutligen öppnar bakdörren.
Lansering av bakdörren
En artefakt med namnet wmsetup.log, upptäckt på Filippinerna den 3 oktober 2025, kan dekrypteras av WMLOADER med samma 16-byte nyckel. Denna logg avslöjade ett FINALDRAFT-implantat, vilket tyder på en delad kodbas och utvecklingsmiljö mellan FINALDRAFT och NANOREMOTE.
Arbetshypotesen är att WMLOADER använder samma hårdkodade nyckel på grund av dess integration i en enhetlig byggprocess utformad för att hantera flera nyttolaster.
